ИБ и DevOps — брак по расчёту

Айтишная классика: мы (девопсы) хотим выкатить всё ещё вчера, а безопасники хотят запретить вообще всё. Но пока мы меряемся письками принципами, продукт стоит и грустит 😭

Ребята, если вы думаете, что ИБ это скучно, вы глубоко заблуждаетесь!

Серверу без защиты ни одна молитва не поможет, поэтому:

Бэкапы ставим, права режем, шифруем, логируем, обновляем, двухфакторку включаем и радуемся, что можем спокойно пить кофе, а не ловить хакеров в проде 🤟🏻

И добавляем немного магии: автоматические сканеры уязвимостей, проверку конфигов (да-да, allow egress = 0.0.0.0/0 — это не смешно), нормальное управление секретами и нормальный пайплайн.

Security теперь не злобный охранник на финише, а ремни безопасности в болиде. С ними можно жать газ и не улететь в стену из-за первого же бага 🤩

DevSecOps — это безопасность в конце релиза нежно шепчет на ушко в пайплайне: «эй, у тебя тут пароль в коде, может не надо?..». Это сдвиг влево, значит сканируй зависимости (спойлер: в твоём package.json сидит чёрт), проверяй контейнеры и не прячь .env в гит.

Поздравляю! Теперь, смотря на сообщения «сервер упал», вы просто смотрите на монитор и тихо ржёте, ведь знаете — всё под контролем 😎

P.S. Главное настройте правильно (пожалуйста)

Почему стоит вкидывать бабки за Serverless💸

Пока я потихоньку отхожу от новогодних, решил порассуждать здесь про модель бессерверки.

Ни знаю как вы, но я люблю внедрять Serverless. Здесь все просто: нагрузка появляется и исчезает, всё само масштабируется, код просто живёт в облаках, а вы лежите и жуёте чипсы))

И самое главное: платите только за то, что реально работает, буквально за секунды выполнения функций. Не тратя время на апдейты, деплои и бесконечную возню с инфраструктурой.

НО!!! Не надо пихать его во всё подряд.

Если нагрузка стабильная и ровная, то подключать модельку не надо, потому что облако просто сожрет его.

То же самое с долгими процессами и задачами, которые крутятся часами, здесь уже приходится считать стоимость и она быстро становится неприятной. + есть холодный старт, а это больно, особенно если каждая миллисекунда на счету и пользователю важно мгновенное время ответа.

Резюмирую: Serverless идеально подходит для коротких, но ярких нагрузок, а всё остальное это overkill, слив бабла и попытка быть модным без причины.

Используйте там, где правда скачет трафик, остальное — забудьте!

FinOps в 2026 году🫠

Этот год обещает быть жестким: многие корпорации будут еще внимательнее следить за финансовыми показателями и метриками, а значит, прилетит и нам.

Если чуть глубже посмотреть на тему, то основной слив денег в девопсе происходит через:
- забытые инстансы и диски;
- неправильно подобранные размеры ресурсов;
- банальную невнимательность к счетам.

Благо у нас есть FinOps, который помогает отслеживать, куда и почему утекают деньги.

И это касается не только облаков — FinOps так же следит за онпремом, где деньги теряются на простаивающих серверах, лицензиях «на вырост», электричестве и охлаждении.

И вот тут возникает вопрос: хватит ли мощностей у компании, чтобы внедрить его?

У вас как, уже внедрили или пока думают?